Ezért most kövezést fogok kapni, de akkor is ez a véleményem:
Ha nem bízol meg az ssh-ban, akkor bármilyen, ssh alapú megoldást el kell vetned. Az összes hókuszpókusz (port knocking, random porton futtatni az sshd-t, otp) csak arra jó, hogy nehezebbé tedd a saját és mások életét. Attól nem lesz biztonságos, hogy a 22-es helyett a 34583-as porton fut (hacsak nem olyan bug van benne, ami a 22-es porthoz, vagy a 1024 alatti porthoz kötődik). Attól se lesz biztonságos, ha vpn-en keresztül éred el, csak elfeded a hibát, ami ugyanúgy megvan (zárva az ajtó, de olyan gyenge a beépítés, hogy a huzat épp nem veti ki).
Ha megbízol az ssh-ban, akkor meg nyugodtan lehet futtatni szabványos porton, nagyjából úgy, ahogy a apt|yum|bármi felteszi(*).
Ha a szervered nagyon-nagyon titkos adatokat tartalmaz, akkor igen, nincs remote root, admin hozzáférés, csak az alkalmazás érhető el, a saját portján, protokollján. Manapság már minden(?) hosting cég ad ip konzolt, szerintem egy rendes helyen oda lehet íratni, hogy ip konzolt csak akkor adjanak valakinek, ha előtte a következő két telefonszám legalább egyikével egyeztettek.
Persze az is kérdés, hogy mennyire lehet megbízni az ip konzolban :)
Mennyire lehet megbízni a saját desktopodban, laptopodban? Pl. ellopják, és kikanalazzák belőle a zokszigént, jelszavakat, miegymást.
Mennyire lehet megbízni benned? A derék ukrán szakemberek elkapják a barátnődet, szüleidet, a macskádat, kinek mit, és közlik, hogy nem puha párnákkal fogják szurkálni őket. Persze, vannak olyan rendszerek, amikhez csak két ember együtt férhet hozzá. Na bumm, annyival több macskát kell elkapni.
Tökéletes biztonság sosincs, hacsak nincs a gép betonba öntve és a Marianna-árok aljára temetve az urános hordók diszkrét fénye mellett. Viszont úgy nagy a pingje :D
(*) ez persze így erős, más okokból (lehet ddosolni az sshd-t?) nekem se a 22-es porton fut és/vagy csak bizonyos címekről engedem be. Meg egyáltalán, untam a logban a sok próbálkozást.